باگ Stagefright چیست و برای محافظت در برابر آن چه باید کرد؟

حتما در چند هفته گذشته خبر کشف شدن باگ خطرناکی به نام Stagefright را شنیده‌اید؛ باگی که به یکی از نگرانی‌ها و چالش‌های بزرگ امنیتی دنیای اندروید در چند وقت اخیر بدل شده و بسیاری از کاربران را به وحشت انداخته است.
هکرها با استفاده از این باگ می‌توانند با فرستادن یک پیام ویدئویی از طریق MMS به تلفن کاربران نفوذ کنند و کنترل آن را به دست بگیرند. از آنجا که این باگ می‌تواند در سیستم عامل اندروید 2.2 به بالا اثرگذار باشد، درنتیجه می‌توان حدس زد که طیف وسیعی از کاربران در خطر تهدید آن قرار دارند.
اما از کجا بدانیم که دستگاه اندرویدی ما به Stagefright مبتلاست و برای محافظت در برابر آن چه کاری باید انجام داد؟ این سوالی است که در این مطلب به آن پاسخ خواهیم داد.

باگ Stagefright چیست و چگونه کار می‎کند؟

این باگ، که خطرناک‌ترین باگ تاریخ اندروید یا «مادر باگ‌های اندروید» نام‌ گرفته است، در ابتدای ماه اوت 2015 در کنفرانس هکرهای کلاه‌سیاه در لاس‌وگاس معرفی شد. همان‌طور که گفتیم، این باگ به هکر اجازه می‌دهد تا از طریق فرستادن یک فایل ویدئویی که در آن کد‌های مخرب جاسازی شده است کنترل دستگاه قربانی را به دست بگیرد. از آنجا که در اکثر گوشی‌ها فایل‌های مولتی‌مدیای دریافت‌شده از اپلیکیشن‌های پیام‌رسان به‌صورت خودکار دانلود می‌شود، احتمال موفقیت هکر بسیار بالا می‌رود.

با نگاهی به آمار درصد توزیع نسخه‌های مختلف اندروید، می‌توان حدس زد که حدود 95 درصد از این دستگاه‌ها در برابر Stagefright آسیب‌پذیرند که درصد بسیار بالایی است. البته گوگل اعلام کرده است که از نسخه اندروید 4 به بعد فناوری‌ای به نام ASLR در سیستم عامل خود گنجانده که ‌می‌تواند کاربران را در برابر این باگ محافظت کند و حدود 90 درصد دستگاه‌های اندرویدی را شامل می‌شود. با این حال به نظر می‌رسد هکرها قادرند سیستم ASLR را نیز دور بزنند و به دستگاه کاربر نفوذ کنند.

چگونه بفهمیم در برابر Stagefright آسیب‌پذیریم؟

راه‌های مختلفی برای فهمیدن این موضوع وجود دارد. درواقع می‌توان گفت اکثر دستگاه‌های اندرویدی 5 سال اخیر در معرض خطرند، اما برای مطمئن شدن از این امر می‌توانید با نصب دو اپلیکیشن Stagefright Detector App و Stagefright Detector این موضوع را بررسی کنید.

چگونه جلو Stagefright را بگیریم؟

خبر بد این است که شما به‌عنوان کاربر نهایی کار زیادی برای جلوگیری از این امر نمی‌توانید بکنید. تنها واکنش ممکن این است که امکان دانلود شدن خودکار ویدئوها و کلا فایل‌های صوتی و تصویری را در تمام اپلیکیشن‌های پیام‌رسان خود از جمله Hangouts ،Whatsapp ،Viber ،Telegram و... ببندید. معمولا در بخش تنظیمات این برنامه‌ها گزینه‌ای به نام Auto-retrieve یا Auto-Download وجود دارد که باید آن را غیرفعال کنید. همچنین توصیه می‌شود از باز کردن پیام‌های مشکوک، مخصوصا آنها که فایل ویدئویی دارند و افراد ناشناس ارسال کرده‌اند، خودداری کنید.

کدام گوشی‌ها آپدیت امنیتی دریافت کرده‌اند؟

در حال حاضر بسیاری از شرکت‌های بزرگ تولیدکننده تلفن همراه نسبت به آپدیت کردن گوشی‌های خود در برابر این باگ خطرناک اقدام کرده‌اند و حتی برخی از آنها قول داده‌اند که برای ایجاد امنیت بیشتر، از این پس دستگاه‌های خود را ماهانه آپدیت کنند. پس اگر گوشی شما در فهرست زیر قرار دارد، بهتر است به‌محض دریافت آپدیت امنیتی مربوط فورا نصبش کنید و برای مطمئن شدن از برطرف شدن مشکل، اپلیکیشن‌های ذکرشده در بالا را دوباره اجرا کنید.

گوگل
طبیعتا گوگل اولین شرکتی بود که دستگاه‌های خود را در برابر Stagefright آپدیت کرد. این شرکت همچنین قول داده از این پس هر ماه ارائه آپدیت امنیتی برای دستگاه‌های نکسوس خود را ادامه دهد.

• Nexus 6
• Nexus 5
• Nexus 4
• Nexus 9
• (Nexus 7 (2013
• (Nexus 7 (2012
• Nexus Player

سامسونگ

سامسونگ دومین شرکتی بود که نسبت به Stagefright واکنش نشان داد. این شرکت نیز، همانند گوگل، قول داده است دستگاه‌های اندروید خود را ماهانه آپدیت کند. در حال حاضر دستگاه‌های ذکرشده در زیر این آپدیت را دریافت کرده‌اند و گوشی‌های پرطرفدار دیگری مثل گلکسی اس4 و گلکسی اس3 در صف انتظارند.

• Galaxy S6
• Galaxy S6 Edge
• Galaxy S6 Active
• Galaxy S5
• Galaxy S5 Active
• Galaxy Note 4
• Galaxy Note Edge

موتورولا
لیست دستگاه‌های موتورولا که برای باگ Stagefright آپدیت دریافت کرده‌اند به شرح زیر است:

• Moto X Play
• (Moto X (2014
• (Moto X (2013
• Moto X Pro
• Moto Maxx/Turbo
• (Moto G (2015
• (Moto G (2014
• (Moto G (2013
• (Moto G 4G LTE (2015
• (Moto G 4G LTE (2014
• (Moto E (2014
• (Moto E (2013
• (Moto E 4G LTE (2015
• DROID Turbo
• DROID Ultra/Mini/Maxx

ال‌جی
شرکت ال‌جی پس از گوگل و سامسونگ سومین شرکتی بود که قول ارائه آپدیت امنیتی ماهانه را داد. این دستگاه‌ها در حال حاضر آپدیت امنیتی Stagefright را از سوی ال‌جی دریافت کرده‌اند:

• LG G4
• LG G3
• LG G2

اچ‌تی‌سی
اگرچه HTC شماری از گوشی‌‌هایش را آپدیت کرده، هنوز، برخلاف سایر تولیدکنندگان، قول ارائه آپدیت ماهانه نداده است. این محصولات اچ‌تی‌سی آپدیت امنیتی دریافت کرده‌اند:

• HTC One M9
• HTC One M8
• HTC One

سونی
شرکت سونی نیز همانند HTC هنوز سیاست خود را در قبال ارائه آپدیت ماهانه امنیتی برای گوشی‌ها و تبلت‌های اندرویدی خود اعلام نکرده است. ولی فعلا برای این دستگاه‌ها آپدیت امنیتی ارائه کرده است:

• +Xperia Z3
• Xperia Z3
• Xperia Z3 Compact
• Xperia Z2

آیا دستگاه شما هم در برابر باگ Stagefright آسیب‌پذیر است؟ آیا تولیدکننده دستگاه شما برای حل این مشکل آپدیتی ارائه کرده است؟ شما تا چه اندازه در مورد این باگ و خطرات آن نگرانید؟